各镇人民政府（便民服务中心），县政府各工作部门、派出机构，新桥农场：

　　《靖边县电子政务外网网络与信息安全应急预案》已经县政府同意，现印发给你们，请认真贯彻落实。

　　靖边县人民政府办公室

　　2019年10月29日

靖边县电子政务外网网络与信息安全应急预案

　　第一条 为规范靖边县电子政务外网网络与信息安全重大事件的报告管理工作，及时掌握和评估网络与信息安全重大事件有关情况，协调组织技术力量进行事件的应急响应处理，有效预防、及时控制和最大限度地降低网络与信息安全重大事件所造成的损失和影响。根据《中华人民共和国网络安全法》《中华人民共和国突发事件应对法》《中共中央办公厅、国务院办公厅转发〈国家信息化领导小组关于加强网络与信息安全保障工作的意见〉的通知》等法律法规的规定制定本预案。

　　第二条 本预案所称的网络与信息安全重大事件是指由于自然灾害、人为攻击或破坏以及病毒爆发、网上泄密、设备故障等原因所引发，严重影响到我县电子政务外网的正常运行，造成业务中断、系统瘫痪、数据破坏或信息泄密等，从而在政府形象、社会稳定或公众利益等方面造成严重影响以及造成一定程度直接和间接重大经济损失的事件。

　　第三条 电子政务外网与信息突发事件的类别、级别。

　　（一）突发事件的类别。

　　根据网络与信息安全的发生原因、性质和机理，靖边县电子政务外网网络与信息安全主要分为以下四类：

　　1.网上泄密事件：指在电子政务外网（互联网）等公众网络上发布了涉及国家秘密、商业秘密、内部资料、个人隐私等不允许公开的信息。

　　2.攻击类事件：指网络系统因计算机病毒感染、非法入侵等导致业务中断、系统死机、网络瘫痪等情况。

　　3.故障类事件：指网络系统因计算机软硬件故障、人为错误操作等导致业务中断、系统死机、网络瘫痪等情况。

　　4.灾害类事件：指因爆炸、火灾、渗水、雷击、地震、风暴等外力因素导致网络系统损毁，造成业务中断、系统死机、网络瘫痪等情况。

　　（二）突发事件的级别。

　　信息安全事件分级的参考要素包括信息密级、公众影响、业务影响和资产损失等四项。各参考要素分别说明如下：

　　1.信息密级是衡量因信息失窃或泄密所造成的信息安全事件中所涉及信息重要程度的要素。

　　2.公众影响是衡量信息安全事件所造成负面影响范围和程度的要素。

　　3.业务影响是衡量信息安全事件对事发单位正常业务开展所造成负面影响程度的要素。

　　4.资产损失是衡量恢复系统正常运行和消除信息安全事件负面影响所需付出资金代价的要素。

　　信息安全突发事件级别分为四级：一般（IV 级）、较大（III级）、重大（II 级）和特别重大（I 级）。

　　IV 级：县内较大范围出现并可能造成较大损害的信息安全件。

　　III 级：县属重要部门网络与信息系统、重点网站或者关系到本地区社会事务或经济运行的其他网络与信息系统受到大面积严重攻击。

　　II 级：县属重要部门或局部基础网络、重要信息系统、重点网站瘫痪，导致业务中断，纵向或横向延伸可能造成严重社会影响或较大经济损失。

　　I 级：敌对分子利用信息网络进行有组织的大规模的宣传、煽动和渗透活动，或者县属单位多地点或多个基础网络、重要信息系统、重点网站瘫痪，导致业务中断，造成或可能造成严重社会影响或巨大经济损失的信息安全事件。

　　第四条 应急处理组织机构

　　应急处理组织机构由县人民政府办公室、县国家保密局、县公安局、县政务信息化服务中心、县电力局、县应急管理局、电信靖边分公司、移动靖边分公司、联通靖边分公司、广电靖边分公司、全县各电子政务外网使用单位组成，负责电子政务外网网络与信息安全应急处理。下设应急处理办公室在县政务信息化服务中心，负责日常应急处理协调等日常工作，特殊情况下，事故涉及的相关单位要予以配合协助。

　　第五条 应急处理流程

　　出现应急事件后值班人员要及时通过电话通知单位领导及相关技术负责人。

　　值班人员根据灾情信息，初步判定灾情程度。能够自身解决的，要及时加以解决；如果不能自行解决故障，由单位领导现场指挥，协调各部门力量，按照分工负责的原则，组织相关技术人员进行应急处理。

　　（一）病毒爆发处理流程。

　　各单位对外服务信息系统一旦发现感染病毒，应执行以下应急处理流程：

　　1.立即切断感染病毒计算机与网络的联接。

　　2.对该计算机的重要数据进行数据备份。

　　3.启用防病毒软件对该计算机进行杀毒处理，同时通过防病毒软件对其他计算机进行病毒扫描和清除工作。

　　4.如果满足下列情况之一的，应立即向本单位信息安全负责人通报情况，并向县政府办报告：

　　（1）现行防病毒软件无法清除该病毒的；

　　（2）网站在 2 小时内无法处理完毕的；

　　（3）业务系统或办公系统在 4 小时内无法处理完毕的。

　　5.恢复系统和相关数据，检查数据的完整性。

　　6.病毒爆发事件处理完毕，将计算机重新接入网络。

　　7.总结事件处理情况，并提出防范病毒再度爆发的解决方案。

　　8.实施必要的安全加固。

　　（二）网页非法篡改处理流程。

　　各单位应用系统发现非法篡改，应执行以下应急处理流程：

　　1.发现非法信息时，值班人员应立即向本单位信息安全负责人通报情况，并立即向当地公安机关网安部门和县政府办报告。情况紧急的，应及时采取断网等处理措施，再按程序报告。

　　2.本单位信息安全负责人应在接到通知后立即赶到现场，做好必要记录，妥善保存有关记录及日志或审计记录。

　　3.协调公安机关网安部门赶到现场，追查非法信息来源。电子政务外网管理单位要做好各种相关的配合工作，必要时协调相关部门或运营商配合处理。

　　4.在当地公安机关网安部门提取相关数据样本后，清理非法信息，强化安全防范措施，然后将应用系统重新投入使用。如情节严重，构成违法犯罪的，由当地公安机关网安部门立案侦查。

　　5.总结事件处理情况，并按照事件严重程度逐级汇报，县政务信息化服务中心要对处理情况进行备案。

　　（三）非法入侵处理流程。

　　信息系统一旦发现被远程控制等非法入侵行为，应执行以下应急处理流程：

　　1.发现系统服务器被远程控制、植入后门程序，或发现有黑客进行攻击时，应立即向电子政务外网管理单位报告，并立即向当地公安机关网安部门通报。

　　2.如服务器已被入侵，将被攻击的服务器等设备从网络中隔离出来，保护现场。

　　3.本单位信息安全负责人应在接到通知后立即赶到现场，做好必要记录，妥善保存有关记录及日志或审计记录。

　　4.通知当地公安机关网安部门赶到现场采样，对现场进行分析，追查攻击源，县政务信息化服务中心与技术人员对接修改防火墙等设备的安全配置阻断黑客继续入侵，必要时协调相关部门或运营商配合处理。

　　5.分析后台数据库操作日志，判断是否发生数据失窃。检查、校验数据的完整性和有效性。

　　6.在当地公安机关网安部门提取相关数据样本后，恢复与重建被攻击或破坏的系统。如情节严重，构成违法犯罪的，由当地公安机关网安部门立案侦查。

　　7.总结事件处理情况，并按照事件严重程度逐级汇报，县政务信息化服务中心要对处理情况进行备案。

　　（四）网上泄密事件应急处理流程。

　　一旦发现网上有涉密信息，应执行以下应急处理流程：

　　1.发现电子政务外网上存在涉密信息时，应立即切断网络连接，并向本单位信息安全负责人通报情况，查找泄密来源，并立即向县保密局报告。

　　2.本单位信息安全负责人应在接到通知后立即安排管理人员删除所发布的涉密信息，对涉密信息的扩散情况进行追查，并全面删除。

　　3.县保密机关负责对网上涉密信息进行密级鉴定并指导做好补救措施。组织协调有关部门对计算机网络上泄露秘密的行为进行查处。

　　4.总结事件处理情况，并按照事件严重程度逐级汇报，县政务信息化服务中心要对处理情况进行备案。

　　（五）机房物理环境事故应急处理流程。

　　1.供电故障：如果出现短路、断路及防雷防静电设备故障，应立即切断电源，并及时维修或更换损坏设备，确保最短时间内恢复供电；如出现 UPS 故障，跳过逆变输出，并及时维修或更换损坏设备。县电力局有线路维修或其他停电业务时，要及时通知县政务信息化服务中心，若停电超过1小时的，由县机关事务服务中心配合发电，保证党政第二办公区数据中心设备用电。

　　2.火灾事故：如发生火灾，应立即切断电源，并启动七氯丙烷灭火装置。向 119 指挥中心报告火情，请求支援；如有人员遇险，应先救人后救物。

　　3.渗水故障：如出现渗水故障，应立即切断电源，及时更换浸水设备并采取防渗水措施，县机关事务服务中心应及时配合关闭水流总开关。

　　（六）网络线路故障应急处理流程

　　1.电子政务外网网络故障：如发生链路、网络设备故障等情况时，由驻场运维技术人员及时采取相应技术措施保障网络畅通。对于需要抢修的线路，如果属于自建链路，运维人员应立即赶赴现场抢修；如租用其它电信运营商的链路，通知相关运营商及时抢修，若链路无法修复，运营商应协调架设临时链路，或提出其他解决方案。

　　2.互联网出口线路故障：启用备用线路，通知相关故障线路电信运营商维护人员及时抢修。

　　3.网络及安全设备故障：对所有网络设备进行实时监测，值班人员一旦发现异常，应立即向县政务信息化服务中心相关负责人报告，经现场检测抢修后，若问题较严重的，及时向重要业务系统管理单位反馈情况，并逐级上报情况。同时，组织相关技术人员进行应急维修，对一时无法修复的，需立即借用或紧急采购新设备进行更换。对已达到报废年限但未损坏的设备要随时准备好备品备件。

　　（七）数据故障应急处理流程。

　　服务器或存储设备故障：机房所有重要核心数据应采取异地备份或人工备份，各单位托管在数据中心机房的服务器相关单位维护人员定期做好备份工作。若发生故障时，要保护好存储磁盘数据安全，及时组织技术人员对故障点进行排查，设备恢复正常后，及时恢复相关数据；若出现重大故障，原设备数据无法恢复的，在更换新设备后，要及时恢复异地备份或人工备份数据，保证系统在最短时间内能够正常运行；故障处理完毕后，要在2个工作日内整理分析造成事故的原因，针对具体问题，采取相应安全策略情况报县政务信息化服务中心备案。

　　（八）设备防盗被盗或人为损害应急处理流程。

　　1.发生设备被盗或人为损害设备情况时，运维值班人员应立即报告县政务信息化服务中心相关负责人，同时保护好现场。

　　2.立即通知保安及公安部门，一同核实审定现场情况，清点被盗物资或盘查人为损害情况，做好必要的影像记录和文字记录。

　　3.积极配合公安部门进行调查，并将有关情况向上级主管部门汇报。

　　（九）信息系统故障处理流程。

　　信息系统包括：各单位单独运行的政务系统、靖边县电子政务网门户系统、公文传输系统等。若发生系统无法使用时，由相应信息系统提供服务单位负责排查处理并负责联系系统运维商；若出现重大故障，不能及时恢复的，立即报县政务信息化服务中心进行统筹协调处理；故障处理完毕后，要在2个工作日内整理分析故障原因，针对具体问题，采取相应安全策略情况报县政务信息化服务中心备案。

　　第六条 发生机房突发事件后，县政务信息化服务中心应采取有效措施开展先期处置，恢复信息网络正常状态。应急处置工作结束后，应对事件发生原因、性质、影响、后果、责任及应急处置能力、恢复重建等问题进行全面调查评估，根据应急处置中暴露出的管理、协调和技术问题，改进和完善预案，实施针对性演练，总结经验教训，整改存在隐患，组织恢复正常工作秩序。

　　第七条 本预案自2019年11月1日起实施，有效期从2019年11月1日起至2024年10月31日止，《靖边县人民政府办公室关于印发靖边县互联网网络安全应急预案的函》（靖政办函〔2008〕110号）同时废止。